|
tesseraktor
Anmeldungsdatum:
13. Mai 2006
Beiträge: Zähle...
|
Danke lubux,
ich war jetzt einfach mal so frei und habe "frei raus" einen Vermerk dazu im Header des Artikels gemacht. Der lesende Besucher wird dann zumindest schon einmal den Hinweis vorfinden dass er IPv6 bedenken sollte, später wäre ggf. sinnvoll den kompletten Artikel zu überarbeiten. Übrigens, ich verstehe zwar deine Haltung dass 2008 IPv6 noch nicht "auf dem Schirm" war, aber wir sollten uns ins Gedächtnis rufen dass IPv6 im Jahre 1998 (!) standardisiert wurde. Die Baustelle dieser Wikiseite halte ich vor diesem Hintergrund für ganz besonders brisant, als Netzwerktechniker ist das einfach ein eklatantes Defizit zu einem sehr wichtigen Aspekt der Netzwerksicherheit.
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 14402
|
tesseraktor schrieb: ..., aber wir sollten uns ins Gedächtnis rufen dass IPv6 im Jahre 1998 (!) standardisiert wurde.
Ja, ... und was haben manche Internet-Service-Provider im Jahr 2012 n. Chr., betr. IPv6 anzubieten? ... Dual-Stack Lite. Mit einer privaten IPv4-Adresse vom ISP, brauche ich (noch) kein ip6tables. 😉
|
|
tesseraktor
Anmeldungsdatum:
13. Mai 2006
Beiträge: Zähle...
|
Da hast du wohl Recht! Dennoch gibt es "da draußen" (gemietete Server im Rechenzentrum,...) und auch "drinnen" (Kongresse und andere öfftl. Veranstaltungen) IPv6, selbst wenn man wie ich auch so einen schämenswerten Internetprovider hat. Den Hinweis finde ich deshalb sinnvoll, aber jetzt steht's ja drin - passt. ☺
|
|
noisefloor
Anmeldungsdatum:
6. Juni 2006
Beiträge: 29567
|
Hallo, der Hinweis ist gut. Aber bitte das nächste Mal keine direkten Anreden ("euer Rechner"), nur neutral schreiben. Ist korrigiert. Gruß, noisefloor
|
|
t0m0
Anmeldungsdatum:
28. Februar 2010
Beiträge: 76
|
Hey, ich versuche gerade, selber ein paar Regeln aufzustellen und mir sind zwei Sachen aufgefallen: Die Sortierung der Chains in der Tabelle wäre vielleicht sinnvoller so: 1. Prerouting 2. Input 3. Forward 4. Output 5. Postrouting Ist eigentlich egal, aber halt übersichtlicher. zeigt es ja z. B. auch so an... Außerdem zeigt die Ausgabe des genannten Befehls die Chains Pre, Input, Output, Post an. Heißt das nicht, dass die Table nat auch in der Zeile der Chain Input vermerkt sein müsste?
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 14402
|
t0m0 schrieb: Heißt das nicht, dass die Table nat auch in der Zeile der Chain Input vermerkt sein müsste?
Nur wenn Du auch eine Regel mit der nat table, in der INPUT chain benutzt. Ist das der Fall bei deinen iptables-Regeln?
|
|
t0m0
Anmeldungsdatum:
28. Februar 2010
Beiträge: 76
|
Nein, ich benutze die Table nat eigentlich gar nicht, ich habe nur etwas rumgespielt da fiel mir das auf. Die Ausgabe des Befehls bei mir ist diese: | Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
|
Außerdem kann man doch einer Chain, die nicht in einer Table enthalten ist keine Regel(n) hinzufügen!? Z. B. das hier | iptables -t filter -A PREROUTING -m recent --set
|
bringt folgende Ausgabe: | iptables: No chain/target/match by that name.
|
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 14402
|
t0m0 schrieb: Außerdem kann man doch einer Chain, die nicht in einer Table enthalten ist keine Regel(n) hinzufügen!?
nat table und INPUT chain ist aber möglich bzw. OK.
|
|
t0m0
Anmeldungsdatum:
28. Februar 2010
Beiträge: 76
|
Ja, genau das meine ich ja. Und ich dachte, das meint auch die Tabelle "Chains von iptables" im Artikel. Müsste da nicht auch nat in der Zeile INPUT stehen?!
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 14402
|
t0m0 schrieb: Müsste da nicht auch nat in der Zeile INPUT stehen?!
Schau dir mal die Ausgabe von "sudo iptables-save" an. Z. B.:
:~$ sudo iptables-save
# Generated by iptables-save v1.4.12 on Sun Feb 23 10:10:50 2014
*nat
:PREROUTING ACCEPT [473:62070]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [8745:507216]
:POSTROUTING ACCEPT [5967:362559]
|
|
t0m0
Anmeldungsdatum:
28. Februar 2010
Beiträge: 76
|
Also bei mir sieht das so aus: 1
2
3
4
5
6
7
8
9
10
11
12 | user@server:~$ sudo iptables -F
user@server:~$ sudo iptables-save
...
# Generated by iptables-save v1.4.12 on Sun Feb 23 10:36:54 2014
*nat
:PREROUTING ACCEPT [72248:8862970]
:INPUT ACCEPT [72215:8860160]
:OUTPUT ACCEPT [66167:5904594]
:POSTROUTING ACCEPT [66167:5904594]
COMMIT
# Completed on Sun Feb 23 10:36:54 2014
...
|
Im Übrigen hatte ich nicht vor, hier so eine lange Diskussion anzustoßen. Ich beschäftige mich eigentlich noch nicht so lange mit iptables...
|
|
BillMaier
Supporter
Anmeldungsdatum:
4. Dezember 2008
Beiträge: 6497
|
"Die mit iptables erstellten Regeln sind flüchtig, d.h. sie bleiben nur bis zum Ausschalten des Computers erhalten! Will man dauerhaft Regeln einrichten, so sollten diese in einem entsprechenden Skript hinterlegt werden, das bei Systemstart automatisch gestartet wird (siehe hierzu rc.local und / oder Upstart)." was ist mit apt-get install iptables-persistent sowie den Pfaden dafür?
|
|
noisefloor
Anmeldungsdatum:
6. Juni 2006
Beiträge: 29567
|
Hallo, @BillMaier: wenn du möchtest kannst dazu einen kurzen Abschnitt in den Artikel iptables2 einbauen. Oder, wenn es sich lohnt, direkt einen eigenen Artikel dazu schreiben ☺ Gruß, noisefloor
|
|
Beforge
Ehemalige
Anmeldungsdatum:
29. März 2018
Beiträge: 2007
|
kmyfirewall schient es nicht mehr zu geben, würde ich dann rausschmeißen.
|
|
kizu
Anmeldungsdatum:
31. Juli 2009
Beiträge: 677
|
Hallo zusammen, warum heißt der Artikel eigentlich iptables2 und nicht iptables? Ist das eine Versionsangabe? Das finde ich im Artikel nirgendwo. MfG, Daniel
|